FastAPI中JWT认证应使用HTTPBearer获取Token并用jwt.decode()校验,密钥须从环境变量读取且确保两端一致;签发时需设exp、sub等字段,用datetime.utcnow()+timedelta;依赖注入get_current_user实现自动校验。FastAPI里怎么给接口加JWT Token认证直接用 HTTPBearer + JWT.decode() 就能拦住没Token或过期的请求,但别手写验证逻辑------容易漏掉 aud、iss 校验,也容易把密钥硬编码进代码里。用 fastapi.security.HTTPBearer 获取请求头里的 Authorization: Bearer xxx,它自动拆出token字符串验证必须用 jwt.decode(),不是 jwt.encode() ------后者只生成,不校验签名和过期时间algorithms 参数必须显式传 ["HS256"],否则默认空列表,解码直接抛 InvalidAlgorithmError密钥建议从环境变量读:os.getenv("JWT_SECRET_KEY"),别写死在代码里JWT Token怎么安全生成(含用户ID和过期时间)生成时漏掉 exp 字段等于发永久通行证,而只用 datetime.utcnow() 不加 timedelta 又会导致 token 一签发就过期。必须传 exp:用 datetime.utcnow() + timedelta(hours=1),别用 datetime.now()(时区错乱风险)payload 至少带 sub(通常放用户ID)和 exp,iat 可选但建议加上用 jwt.encode(payload, key, algorithm="HS256"),key 类型必须是 str 或 bytes,传 None 会静默失败生成后立刻返回 access_token 和 token_type: "bearer",前端才能正确拼接请求头为什么每次请求都报 InvalidSignatureError90% 是密钥不一致:签发用的 key 和验证用的 key 看似一样,实则一个是字符串、一个是 bytes,或者前后有空格、换行符。检查 JWT_SECRET_KEY 环境变量是否被 shell 自动截断(比如值含 $ 被当成变量替换)验证前先 print(repr(key)),确认两边 key 的字节完全一致(注意 、 、空格)如果用 pydantic.BaseSettings 读配置,确保字段类型是 SecretStr 并调用 .get_secret_value()别用 base64.b64encode() 对密钥二次编码------jwt.encode() 内部不处理 base64,会直接拿原始字节算签名如何让登录接口返回Token,其他接口自动校验别在每个路由上重复写 Depends(get_current_user),用 FastAPI 的依赖注入链就行,但要注意依赖的 scope 和异常处理方式。 Trenz AI驱动的社交电商营销平台,专为TikTok Shop设计
相关推荐
PaperData几秒前
1988-2025年《中国人口和就业统计年鉴》全年份excel+PDF周末也要写八哥6 分钟前
代码中的注释的重要性(二)愿^O^~7 分钟前
JVM GC 入门 → 进阶XingshiXu20 分钟前
【NWAFU×KUL】不打扰,也能看懂一头牛:非接触式技术正在改变精准畜牧kybs199121 分钟前
springboot租车系统--附源码68701星河耀银海35 分钟前
C语言与数据库交互:SQLite实战与数据持久化过期动态1 小时前
MySQL中的约束wxin_VXbishe1 小时前
springboot新能源车充电站管理系统小程序-计算机毕业设计源码29213程序员陆通1 小时前
月烧 400 刀到不到 20 刀:我是怎么把 OpenClaw 的 Token 账单砍掉 95% 的Shan12051 小时前
站在计算机领域视角看:SQL注入攻击